XX數(shù)據(jù)中心應(yīng)急方案

1、XXX有限公司XX應(yīng)急方案XXX數(shù)據(jù)中心發(fā)放編號(hào):受控狀態(tài)：受控 非受控X XX 有 限 公 司發(fā)布版本記錄版本狀態(tài)作者開始日期完成日期備注目錄目 錄 4.第 1 章總則 6.第 2 章數(shù)據(jù)中心應(yīng)急方案組織體系 6.2.1 網(wǎng)絡(luò)與信息安全應(yīng)急協(xié)調(diào)領(lǐng)導(dǎo)小組職責(zé) 62.2 領(lǐng)導(dǎo)小組辦公室組成及成員電話 62.3 工作職責(zé) 72.4 各設(shè)備應(yīng)急聯(lián)系人 7第 3 章信息系統(tǒng)安全應(yīng)急處置實(shí)施細(xì)則 8.3.1. 信息系統(tǒng)故障等級(jí)劃分 83.1.1. 一級(jí)故障 83.1.2. 二級(jí)故障 93.1.3. 三級(jí)故障 103.2. 網(wǎng)絡(luò)信息故障處理程序 103.2.1. 故障的發(fā)現(xiàn) 103.2.2. 故障的處理

2、103.2.3. 故障的記錄 113.2.4. 故障的升級(jí)上報(bào) 113.2.5. 報(bào)告內(nèi)容 133.2.6. 應(yīng)急處置 133.2.7. 故障處理后的測試驗(yàn)收 143.2.8. 故障書面報(bào)告 143.2.9. 故障報(bào)告填寫及報(bào)告 15第 4 章信息系統(tǒng)安全應(yīng)急處理流程 1.64.1. 信息系統(tǒng)安全應(yīng)急處理流程圖 164.2. 故障升級(jí)分類及升級(jí)時(shí)限 174.3. 越級(jí)報(bào)告 17第 5 章應(yīng)急響應(yīng)特點(diǎn)文檔及工具 1.75.1. 應(yīng)急文檔的備存 175.2. 應(yīng)急設(shè)備及軟件備存 18第 6 章應(yīng)急處理預(yù)案 1.86.1. 網(wǎng)絡(luò)中斷應(yīng)急處理 186.2. 黑客攻擊的應(yīng)急處理 196.2.1. 應(yīng)急處

3、理 196.2.2. 修復(fù)處理 206.3. 大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理 206.4. 數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理 216.5. 設(shè)備硬件故障的應(yīng)急處理 216.6. XX 相關(guān)故障應(yīng)急處理 226.7. 對(duì)重大故障的應(yīng)急處理 226.8. 請(qǐng)求外部協(xié)助支持 23第 7 章后期處理 2.3.7.1. 善后處理 237.2. 調(diào)查和評(píng)估 237.3. 應(yīng)急方案更新 24附件：應(yīng)急響應(yīng)相關(guān)表單 2.4第1章總則為保證公司數(shù)據(jù)中心信息系統(tǒng)安全，防范蓄意攻擊、破壞網(wǎng)絡(luò) 系統(tǒng)及數(shù)據(jù)安全等緊急突發(fā)事件的發(fā)生， 根據(jù)公司XXX數(shù)據(jù)中心應(yīng) 急預(yù)案，結(jié)合公司數(shù)據(jù)中心信息化的特點(diǎn)，特制定本應(yīng)急方案。第2

4、章 數(shù)據(jù)中心應(yīng)急方案組織體系2.1網(wǎng)絡(luò)與信息安全應(yīng)急協(xié)調(diào)領(lǐng)導(dǎo)小組職責(zé)負(fù)責(zé)領(lǐng)導(dǎo)XXX數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全應(yīng)急工作，確定并直接 領(lǐng)導(dǎo)信息系統(tǒng)安全應(yīng)急處置工作組。審定 XXX數(shù)據(jù)中心信息系統(tǒng)安 全應(yīng)急預(yù)案并組織實(shí)施，研究解決數(shù)據(jù)中心有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安 全的重大問題。領(lǐng)導(dǎo)小組下設(shè)處置工作組，其工作職責(zé)由數(shù)據(jù)中心 承擔(dān)。2.2領(lǐng)導(dǎo)小組辦公室組成及成員電話姓名職務(wù)聯(lián)系電話組長副組長成員2.3工作職責(zé)（1）組長職責(zé)負(fù)責(zé)XXX數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全應(yīng)急方案的啟動(dòng)，對(duì)XXX數(shù)據(jù) 中心網(wǎng)絡(luò)與信息安全故障全權(quán)組織進(jìn)行應(yīng)急處置。（2）副組長職責(zé)協(xié)助組長對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全故障進(jìn)行應(yīng)急處置，負(fù)責(zé) 確定合理的技術(shù)

5、處理方案、制定應(yīng)急處置方案。組長不在現(xiàn)場或不便履行職責(zé)時(shí)，行使組長職責(zé)。（3）應(yīng)急領(lǐng)導(dǎo)小組其它成員職責(zé)配合組長和副組長，實(shí)施應(yīng)急處置工作。2.4各設(shè)備應(yīng)急聯(lián)系人單位姓名職務(wù)聯(lián)系電話備注第3章信息系統(tǒng)安全應(yīng)急處置實(shí)施細(xì)則3.1. 信息系統(tǒng)故障等級(jí)劃分XXX數(shù)據(jù)中心信息系統(tǒng)故障等級(jí)，按照信息安全技術(shù) -信息系 統(tǒng)安全等級(jí)保護(hù)基本要求第二級(jí)的要求，具體劃分為三個(gè)等級(jí)， 一級(jí)故障為重大故障；二級(jí)和三級(jí)故障為一般性故障。3.1.1. 級(jí)故障信息系統(tǒng)發(fā)生故障，預(yù)計(jì)將或已經(jīng)嚴(yán)重影響公司核心系統(tǒng)業(yè)務(wù)， 導(dǎo)致相關(guān)業(yè)務(wù)中斷1小時(shí)以上，并預(yù)計(jì)24小時(shí)以內(nèi)無法恢復(fù)的，具 備以下一個(gè)或幾個(gè)特征，即定義為一級(jí)故障。1.

6、公司核心業(yè)務(wù)系統(tǒng)XXX XXX和部分XXX業(yè)務(wù)的廣域網(wǎng)和專網(wǎng)出現(xiàn)線路和設(shè)備故障，且中斷時(shí)間為一個(gè)小時(shí)以上；2. 公司數(shù)據(jù)中心核心網(wǎng)絡(luò)出現(xiàn)故障， 造成外網(wǎng)用戶不能訪問公司服 務(wù)器； 3公司數(shù)據(jù)中心核心業(yè)務(wù)服務(wù)器出現(xiàn)故障，無法及時(shí)恢復(fù)，導(dǎo)致業(yè) 務(wù)中斷一個(gè)小時(shí)以上。4. 公司數(shù)據(jù)中心存儲(chǔ)出現(xiàn)故障， 導(dǎo)致業(yè)務(wù)中斷一個(gè)小時(shí)以上且數(shù)據(jù) 無法恢復(fù)。5. xx 核心業(yè)務(wù)系統(tǒng)出現(xiàn)故障，導(dǎo)致公司業(yè)務(wù)中斷一個(gè)小時(shí)以上。6. 利用技術(shù)手段，造成業(yè)務(wù)數(shù)據(jù)被修改、假冒、泄漏、竊取的信息 系統(tǒng)安全事件。3.1.2. 二級(jí)故障信息系統(tǒng)發(fā)生故障， 預(yù)計(jì)將或已經(jīng)嚴(yán)重影響公司核心系統(tǒng)業(yè)務(wù)， 導(dǎo)致相關(guān)業(yè)務(wù)中斷 1 小時(shí)以上，并預(yù)計(jì)

7、6 小時(shí)以內(nèi)可以恢復(fù)的，具 備以下一個(gè)或幾個(gè)特征，即定義為二級(jí)故障。1. 公司部分核心業(yè)務(wù)系統(tǒng)出現(xiàn)線路故障，導(dǎo)致部分客戶無法訪問；2. 公司數(shù)據(jù)中心核心業(yè)務(wù)服務(wù)器宕機(jī)，無法及時(shí)恢復(fù)， 導(dǎo)致業(yè)務(wù)中 斷一個(gè)小時(shí)以上。3. 公司部分部署在 xx 機(jī)房的核心業(yè)務(wù)系統(tǒng)出現(xiàn)故障，導(dǎo)致公司業(yè) 務(wù)中斷一個(gè)小時(shí)以上。4. 病毒或網(wǎng)絡(luò)攻擊造成公司數(shù)據(jù)中心廣域網(wǎng)連接中斷或傳輸效率 明顯下降，關(guān)鍵業(yè)務(wù)系統(tǒng)不能正常提供服務(wù)；5. 人為誤操作導(dǎo)致公司備份數(shù)據(jù)丟失。6利用技術(shù)手段，造成業(yè)務(wù)數(shù)據(jù)被修改、假冒、泄漏、竊取的信息 系統(tǒng)安全事件。7 12小時(shí)以內(nèi)無法解決的三級(jí)故障。3.1.3. 三級(jí)故障滿足以下條件之一，即定義為三

8、級(jí)故障。1非核心業(yè)務(wù)出現(xiàn)故障，導(dǎo)致無法訪問。2故障發(fā)生后，影響到信息系統(tǒng)的運(yùn)行效率，速度變慢，但不影響 業(yè)務(wù)系統(tǒng)訪問； 3故障發(fā)生后，可隨時(shí)應(yīng)急處理，不會(huì)影響的系統(tǒng)全面運(yùn)行，但是 一種隱患；3.2. 網(wǎng)絡(luò)信息故障處理程序3.2.1. 故障的發(fā)現(xiàn)數(shù)據(jù)中心中心工作人員在發(fā)現(xiàn)故障或接到故障報(bào)告后，首先要 判斷故障發(fā)生的原因，對(duì)故障的等級(jí)進(jìn)行初步的判斷；其次聯(lián)系并 協(xié)調(diào)相關(guān)人員解決此次故障；待故障解決后，對(duì)此次故障進(jìn)行詳細(xì) 的記錄。3.2.2. 故障的處理1. 發(fā)生故障的業(yè)務(wù)系統(tǒng)主管部門數(shù)據(jù)中心為故障處理部門， 故 障處理部門領(lǐng)導(dǎo)負(fù)責(zé)通知和落實(shí)相應(yīng)崗位人員到達(dá)現(xiàn)場，故障處理 部門應(yīng)首先指定現(xiàn)場指揮人員

9、，指揮人員應(yīng)先詢問了解設(shè)備和配置 近期的變更情況，查清故障的影響范圍，從而確定故障的等級(jí)和發(fā) 生故障的可能位置；2. 對(duì)于一般性故障按照324的故障升級(jí)上報(bào)要求進(jìn)行上報(bào), 并在處理過程中及時(shí)向主管領(lǐng)導(dǎo)通報(bào)故障處理情況。3. 對(duì)于重大故障按照的故障升級(jí)上報(bào)要求進(jìn)行上報(bào)， 并在處理過程中及時(shí)向主管領(lǐng)導(dǎo)通報(bào)故障處理情況。3.2.3. 故障的記錄在故障處理中，應(yīng)對(duì)其過程進(jìn)行詳細(xì)記錄，其中包括故障處理 的負(fù)責(zé)人，檢查的內(nèi)容及結(jié)果，對(duì)故障的判斷及處理辦法，以及故 障處理過程中各步驟及執(zhí)行人員。3.2.4. 故障的升級(jí)上報(bào)根據(jù)故障等級(jí)和發(fā)生的時(shí)限，要對(duì)故障的情況進(jìn)行及時(shí)的上報(bào), 并對(duì)報(bào)告人，告知人及時(shí)間及內(nèi)

10、容進(jìn)行記錄。重大故障由部門主管 領(lǐng)導(dǎo)負(fù)責(zé)上報(bào)，一般性故障由故障處理人員負(fù)責(zé)上報(bào)。故障升級(jí)上 報(bào)時(shí)限如下表所示：升級(jí)時(shí)限一級(jí)故障二級(jí)故障三級(jí)故障立即數(shù)據(jù)中心經(jīng)理相應(yīng)崗位人員相應(yīng)崗位人員半小時(shí)數(shù)據(jù)中心部門主管數(shù)據(jù)中心經(jīng)理領(lǐng)導(dǎo)1小時(shí)公司主管咼層數(shù)據(jù)中心部門主管領(lǐng)導(dǎo)數(shù)據(jù)中心經(jīng)理4小時(shí)公司主管咼層數(shù)據(jù)中心部門主管領(lǐng)導(dǎo)8小時(shí)24小時(shí)故障上報(bào)升級(jí)時(shí)限XXX數(shù)據(jù)中心是負(fù)責(zé)受理和處理網(wǎng)絡(luò)和信息安全突發(fā)事件的具 體職責(zé)部門，在接到突發(fā)事件報(bào)告后，要按下列工作程序處置： 1 .一級(jí)故障的報(bào)告程序(1) 發(fā)現(xiàn)故障崗位人員根據(jù)故障初級(jí)判斷結(jié)果，立即向數(shù)據(jù)中 心經(jīng)理匯報(bào)；(2) 數(shù)據(jù)中心經(jīng)理根據(jù)故障初級(jí)判斷結(jié)果，迅速將有

11、關(guān)情況報(bào) 告xxx數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組或數(shù)據(jù)中心部門主 管領(lǐng)導(dǎo)，報(bào)告時(shí)限不能超過30分鐘；(3) 經(jīng)排查故障無法在1個(gè)小時(shí)內(nèi)排除，將該突發(fā)事件形成書 面匯報(bào)材料呈報(bào)給公司主管領(lǐng)導(dǎo)，同時(shí)向數(shù)據(jù)中心部門主管領(lǐng)導(dǎo) 上報(bào)情況。2.二級(jí)故障的報(bào)告程序(1) 發(fā)現(xiàn)故障崗位人員根據(jù)故障初級(jí)判斷結(jié)果，將故障有關(guān)情況向數(shù)據(jù)中心經(jīng)理匯報(bào)，報(bào)告時(shí)限不能超過 30 分鐘；（2）數(shù)據(jù)中心經(jīng)理根據(jù)故障初級(jí)判斷結(jié)果，迅速將有關(guān)情況報(bào) 告xxx數(shù)據(jù)中心中心網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組或數(shù)據(jù)中心部 門主管領(lǐng)導(dǎo)，報(bào)告時(shí)限不能超過 60 分鐘；（3）經(jīng)排查故障無法在 4 個(gè)小時(shí)內(nèi)排除，將該突發(fā)事件形成書 面匯報(bào)材料呈報(bào)

12、給公司主管領(lǐng)導(dǎo)。3. 三級(jí)故障的報(bào)告程序（1）發(fā)現(xiàn)故障崗位人員根據(jù)故障初級(jí)判斷結(jié)果，將故障有關(guān)情 況向數(shù)據(jù)中心經(jīng)理匯報(bào)，報(bào)告時(shí)限不能超過 1 小時(shí)；（2）數(shù)據(jù)中心經(jīng)理根據(jù)故障初級(jí)判斷結(jié)果，迅速將有關(guān)情況報(bào) 告xxx數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組或數(shù)據(jù)中心部門主 管領(lǐng)導(dǎo)，報(bào)告時(shí)限不能超過 4 小時(shí)；（3）經(jīng)排查故障無法在 8 個(gè)小時(shí)內(nèi)排除，將該突發(fā)事件形成書 面匯報(bào)材料呈報(bào)給數(shù)據(jù)中心部門主管領(lǐng)導(dǎo)，做故障升級(jí)處理。3.2.5. 報(bào)告內(nèi)容報(bào)告內(nèi)容包括突發(fā)事件發(fā)生的時(shí)間、地點(diǎn)、過程、狀況、原因 及影響等。3.2.6. 應(yīng)急處置1 數(shù)據(jù)中心根據(jù)故障情況立即進(jìn)行應(yīng)急處理， 防止事件進(jìn)一步 擴(kuò)大，同時(shí)分

13、析該故障的起因，判斷需要的處理時(shí)間，并根據(jù)判斷結(jié)果按故障升級(jí)上報(bào)程序，逐級(jí)上報(bào)；2 根據(jù)突發(fā)事件的性質(zhì)、級(jí)別，決定啟動(dòng)相關(guān)系統(tǒng)技術(shù)應(yīng)急預(yù) 案；3 根據(jù)事件級(jí)別以及對(duì)業(yè)務(wù)影響程度的評(píng)估結(jié)果， 向網(wǎng)絡(luò)與信 息安全應(yīng)急協(xié)調(diào)領(lǐng)導(dǎo)小組報(bào)告，應(yīng)急領(lǐng)導(dǎo)小組決定是否啟動(dòng)業(yè)務(wù)應(yīng) 預(yù)案，數(shù)據(jù)中心配合業(yè)務(wù)部門開展應(yīng)急處置工作；4 應(yīng)急領(lǐng)導(dǎo)小組授權(quán)辦公室或責(zé)任人通過內(nèi)外網(wǎng)站、傳真等媒 介通報(bào)突發(fā)事件有關(guān)信息；5根據(jù)故障可能產(chǎn)生的原因盡早聯(lián)系其它相關(guān)部門、線路運(yùn)營 商、設(shè)備供應(yīng)商請(qǐng)求技術(shù)支持， 并將聯(lián)系外協(xié)支持的情況記錄在案。3.2.7. 故障處理后的測試驗(yàn)收故障處理后，故障處理部門要進(jìn)行自測，然后提交用戶進(jìn)行確 認(rèn)，

14、當(dāng)用戶對(duì)處理結(jié)果認(rèn)同后，故障最終確認(rèn)解決。3.2.8. 故障書面報(bào)告對(duì)于重大故障和拖延時(shí)間較長的一般性故障，在處理過后，應(yīng) 對(duì)故障及處理的全過程進(jìn)行總結(jié)，以文字形式進(jìn)行報(bào)告。對(duì)于影響較小的一般故障處理，在維護(hù)日志中做完整的說明和 記錄。3.2.9. 故障報(bào)告填寫及報(bào)告故障報(bào)告應(yīng)包括以下幾方面的內(nèi)容： 故障處理過程的原始記錄， 故障情況描述及故障處理情況說明，報(bào)告中要明確說明故障處理是 否準(zhǔn)確和及時(shí)，有無明顯的失誤，有無違反規(guī)定行為。語言應(yīng)簡明 扼要，對(duì)情況描述要清楚、有條理。故障處理部門負(fù)責(zé)人將對(duì)故障報(bào)告進(jìn)行全面審核，無誤后簽字 并報(bào)數(shù)據(jù)中心部門主管領(lǐng)導(dǎo)，重大故障報(bào)告需報(bào)公司主管領(lǐng)導(dǎo)。第4章

15、信息系統(tǒng)安全應(yīng)急處理流程4.1. 信息系統(tǒng)安全應(yīng)急處理流程圖收到故障處理請(qǐng)求信息通知相關(guān)人 員前去處理三級(jí)故障向信息中心技術(shù)部 部長匯報(bào)按照正常程序處理處理完畢根據(jù)故障 影響判斷.二級(jí)故障向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組或本處領(lǐng)導(dǎo)匯報(bào)否處理延時(shí) 故障升級(jí)采取應(yīng)急救援措施搶險(xiǎn)結(jié)束 恢復(fù)正常情況4.2. 故障升級(jí)分類及升級(jí)時(shí)限1、故障分類詳見第 3.1 章節(jié)。2、二級(jí)故障發(fā)生后，在 4 小時(shí)內(nèi)沒有解決，升為一級(jí)故障。 三級(jí)故障發(fā)生后，在 8 小時(shí)內(nèi)沒有解決，升為二級(jí)故障。4.3. 越級(jí)報(bào)告故障上報(bào)應(yīng)遵循逐級(jí)上報(bào)原則，但在與上級(jí)聯(lián)系不上時(shí)，可越 級(jí)報(bào)告。第 5章 應(yīng)急響應(yīng)特點(diǎn)文檔及工具5.1. 應(yīng)急文檔的備存（1

16、）各類網(wǎng)絡(luò)設(shè)備和服務(wù)器、計(jì)算機(jī)及其附屬設(shè)備的型號(hào)、序 列號(hào)等；（2）硬件設(shè)備供應(yīng)商、生產(chǎn)廠商的電話、聯(lián)系人、技術(shù)支持網(wǎng) 址；（3）操作系統(tǒng)、關(guān)鍵業(yè)務(wù)應(yīng)用軟件開發(fā)商或供應(yīng)商的電話、聯(lián) 系人；（4）數(shù)據(jù)中心網(wǎng)絡(luò)拓樸圖；（5）路由器、防火墻、入侵檢測設(shè)備的配置文檔，服務(wù)器登陸 用戶及原始密碼文檔；（6）各類軟件的技術(shù)文檔及其他需要保存的文檔。5.2. 應(yīng)急設(shè)備及軟件備存（1）正版操作系統(tǒng)啟動(dòng)盤、安裝盤；（2）正版防病毒軟件（注明安裝及升級(jí)序列號(hào)） ；（3）數(shù)據(jù)庫管理系統(tǒng)軟件，數(shù)據(jù)庫備份軟件及最近完整的數(shù)據(jù) 備份存儲(chǔ)介質(zhì)；（4）相關(guān)的設(shè)備驅(qū)動(dòng)程序（含主板、顯卡、網(wǎng)卡等）及更新到 最新的服務(wù)器注冊(cè)表文件

17、；（5）備用網(wǎng)線，萬用表、測網(wǎng)儀、螺絲刀等必要工具；（6）其它必備的應(yīng)急工具。第 6章 應(yīng)急處理預(yù)案6.1. 網(wǎng)絡(luò)中斷應(yīng)急處理1、故障排查：網(wǎng)絡(luò)中斷后，技術(shù)人員要迅速判斷故障節(jié)點(diǎn)，查明故障原因；2、故障排除： 如屬線路故障，應(yīng)重新安裝線路。 如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，技術(shù)人員立即檢修并調(diào)試通暢。如路由器、交換機(jī)配置文件破壞，技術(shù)人員應(yīng)迅速按照要求重新配置，調(diào)試通暢。必要時(shí)，請(qǐng)有關(guān)供貨單位、設(shè)備廠商 協(xié)助調(diào)測暢通。 如需更換設(shè)備， 應(yīng)上報(bào)公司主管領(lǐng)導(dǎo)，經(jīng)批準(zhǔn)后馬上更換故障 設(shè)備，盡快恢復(fù)系統(tǒng)運(yùn)行。 如發(fā)現(xiàn)屬于外部線路的問題， 應(yīng)與線路運(yùn)營商聯(lián)系， 敦促盡快 恢復(fù)故障線路。 數(shù)據(jù)中心無法及

18、時(shí)修理時(shí)，應(yīng)立即通知相關(guān)供應(yīng)商及維護(hù)人 員，在最短時(shí)間內(nèi)安排修理。6.2. 黑客攻擊的應(yīng)急處理6.2.1. 應(yīng)急處理1. 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為時(shí)，應(yīng)立即向數(shù)據(jù)中心通報(bào)情 況，并由數(shù)據(jù)中心相關(guān)負(fù)責(zé)人向數(shù)據(jù)中心主管領(lǐng)導(dǎo)報(bào)告；2. 數(shù)據(jù)中心工作人員應(yīng)立即趕到現(xiàn)場， 將被攻擊的服務(wù)器或其他 設(shè)備從網(wǎng)絡(luò)中隔離出來，必要時(shí)可以采取照片、截圖等方式留存記 錄，保護(hù)現(xiàn)場；3. 如事態(tài)較為嚴(yán)重， 經(jīng)向數(shù)據(jù)中心主管領(lǐng)導(dǎo)請(qǐng)示后， 立即向公安 部門報(bào)警，配合公安部門展開調(diào)查；4. 數(shù)據(jù)中心相關(guān)技術(shù)人員做好被攻擊或破壞后系統(tǒng)的恢復(fù)與重 建工作；5. 數(shù)據(jù)中心負(fù)責(zé)組織技術(shù)力量追查非法信息來源；6. 數(shù)據(jù)中心相關(guān)工作

19、人員將實(shí)施事件處理的過程和結(jié)果備案存 檔，必要時(shí)向數(shù)據(jù)中心主管領(lǐng)導(dǎo)匯報(bào)。6.2.2. 修復(fù)處理1、記錄系統(tǒng)狀況；2、立即復(fù)制系統(tǒng)登錄文件、歷史文件、日志文件等重要文件；3、修改防火墻、路由器等網(wǎng)絡(luò)安全設(shè)備的過濾規(guī)則；4、斷開被攻主機(jī)、關(guān)閉不需要的服務(wù)；5、處理可疑的文件和程序；6、修改不安全的系統(tǒng)帳號(hào)及其口令；7、恢復(fù)被修改的軟件和數(shù)據(jù)；8、安裝相應(yīng)的補(bǔ)丁程序，填補(bǔ)安全漏洞 ；9、編寫報(bào)告，詳述事件過程及處理步驟。6.3. 大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理1. 當(dāng)發(fā)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)中有大量服務(wù)器被感染上病毒后，服務(wù)器維護(hù)人員應(yīng)立即上報(bào)數(shù)據(jù)中心；2. 數(shù)據(jù)中心工作人員應(yīng)立即將該機(jī)從網(wǎng)絡(luò)上隔離開

20、來；3. 數(shù)據(jù)中心工作人員對(duì)該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份， 并將防病毒軟件的病毒特征庫更新至最新版本；4. 數(shù)據(jù)中心工作人員啟用反病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理， 并 對(duì)相關(guān)服務(wù)器進(jìn)行病毒掃描和清除工作；5. 情況較為嚴(yán)重的，已影響到公司相關(guān)系統(tǒng)的數(shù)據(jù)傳輸、應(yīng)用系統(tǒng)訪問不正常等情況， 應(yīng)及時(shí)向數(shù)據(jù)中心主管領(lǐng)導(dǎo)報(bào)告， 按照 3.1 信息系統(tǒng)故障等級(jí)劃分，確定其故障等級(jí)，并啟動(dòng)相應(yīng)的應(yīng)急處理 程序進(jìn)行排除。6.4. 數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理1. 數(shù)據(jù)庫系統(tǒng)每日必須存有備份，與軟件系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)必 須有多日的備份；并將它們保存與安全處；2. 數(shù)據(jù)庫系統(tǒng)發(fā)生故障以后，數(shù)據(jù)中心工作人員立即向數(shù)據(jù)庫 組負(fù)責(zé)人和

21、數(shù)據(jù)中心主管領(lǐng)導(dǎo)匯報(bào)請(qǐng)示，經(jīng)同意后采用相關(guān)技術(shù)手 段盡快恢復(fù)數(shù)據(jù)庫運(yùn)行，保證業(yè)務(wù)不中斷；3. 數(shù)據(jù)中心工作人員及時(shí)組織相關(guān)數(shù)據(jù)庫工程師，并同時(shí)通知 主要應(yīng)用部門等技術(shù)力量做好數(shù)據(jù)庫系統(tǒng)切換和有關(guān)數(shù)據(jù)的恢復(fù)工 作；4. 數(shù)據(jù)庫工程師應(yīng)檢查日志等資料，確定故障原因；5. 數(shù)據(jù)庫部門會(huì)同數(shù)據(jù)中心工作人員將實(shí)施處理的過程和結(jié)果 進(jìn)行備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報(bào)。6.5. 設(shè)備硬件故障的應(yīng)急處理1. 數(shù)據(jù)庫服務(wù)器等關(guān)鍵設(shè)備損壞后，數(shù)據(jù)中心相關(guān)人員應(yīng)立即 向數(shù)據(jù)中心經(jīng)理報(bào)告；2. 數(shù)據(jù)中心經(jīng)理立即組織相關(guān)技術(shù)人員查明原因， 聯(lián)系維保單 位更換受損部件；3. 如果設(shè)備一時(shí)不能修復(fù)，應(yīng)向數(shù)據(jù)中心主管領(lǐng)導(dǎo)匯報(bào)，并

22、告知各應(yīng)用部門暫緩上傳上報(bào)數(shù)據(jù)或及時(shí)切換應(yīng)用到其它應(yīng)用服務(wù)器 上，及時(shí)恢復(fù)業(yè)務(wù)系統(tǒng)。6.6. XX 相關(guān)故障應(yīng)急處理1. 數(shù)據(jù)中心相關(guān)工作人員應(yīng)分析大致故障原因，并立即向數(shù)據(jù) 中心經(jīng)理報(bào)告；2. 數(shù)據(jù)中心經(jīng)理立即組織協(xié)調(diào)相關(guān)人員聯(lián)系 XX 相關(guān)負(fù)責(zé)人查 明原因解決此問題；3. 如果XX 時(shí)無法解決，應(yīng)向數(shù)據(jù)中心主管領(lǐng)導(dǎo)匯報(bào)，并告知 各應(yīng)用部門暫緩上傳上報(bào)數(shù)據(jù)或及時(shí)切換應(yīng)用到其它應(yīng)用服務(wù)器 上，及時(shí)恢復(fù)業(yè)務(wù)系統(tǒng)。6.7. 對(duì)重大故障的應(yīng)急處理當(dāng)數(shù)據(jù)中心工作人員通過網(wǎng)絡(luò)監(jiān)控到諸如廣域鏈路意外中斷、 核心路由（交換機(jī)）宕機(jī)。非法入侵及病毒入侵使網(wǎng)絡(luò)傳輸性能下 降，應(yīng)用系統(tǒng)網(wǎng)站、核心數(shù)據(jù)庫等系統(tǒng)關(guān)鍵服

23、務(wù)器性能下降，嚴(yán)重 影響正常業(yè)務(wù)運(yùn)行的情況時(shí)。數(shù)據(jù)中心工作人員應(yīng)及時(shí)記錄故障發(fā) 生時(shí)間、地點(diǎn)等。同時(shí)立即報(bào)知數(shù)據(jù)中心主管領(lǐng)導(dǎo)。在此過程中數(shù) 據(jù)中心工作人員應(yīng)檢查所發(fā)生故障設(shè)備和配置近期的變更情況，查 清故障的影響范圍，從而確定故障的等級(jí)和發(fā)生故障的可能部位， 在處理過程中要及時(shí)向主管領(lǐng)導(dǎo)通報(bào)故障的處理情況。6.8. 請(qǐng)求外部協(xié)助支持1. 對(duì)一時(shí)不能查清原因的重大故障，應(yīng)盡早聯(lián)系原廠商請(qǐng)求技 術(shù)支持。2. 對(duì) 4 小時(shí)內(nèi)無法解決的一般性故障，也應(yīng)聯(lián)系原廠商請(qǐng)求技 術(shù)支持，并要將聯(lián)系外協(xié)支持的情況記錄在案。第 7章 后期處理7.1. 善后處理應(yīng)急處置工作結(jié)束后，現(xiàn)場領(lǐng)導(dǎo)小組組織有關(guān)人員和技術(shù)專家

24、組成事件調(diào)查組，對(duì)事件發(fā)生原因、性質(zhì)、影響、后果、責(zé)任及應(yīng) 急處置能力、恢復(fù)重建等問題進(jìn)行全面調(diào)查評(píng)估，根據(jù)應(yīng)急處置中 暴露出的管理、協(xié)調(diào)和技術(shù)問題，改進(jìn)和完善預(yù)案，實(shí)施針對(duì)性演 練，總結(jié)經(jīng)驗(yàn)教訓(xùn)，整改存在隱患，組織恢復(fù)正常工作秩序。7.2. 調(diào)查和評(píng)估應(yīng)急處理工作結(jié)束后， 應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)立即組織有關(guān)人員，專家組，會(huì)同技術(shù)中心成立事件調(diào)查小組，對(duì)事件發(fā)生及其處理過 程進(jìn)行全面的調(diào)查，查清事件發(fā)生的原因及財(cái)產(chǎn)損失狀況并總結(jié)經(jīng) 驗(yàn)教訓(xùn)，寫出調(diào)查評(píng)估報(bào)告，并將故障處理文檔整理，形成知識(shí)庫 進(jìn)行統(tǒng)一歸檔管理。73應(yīng)急方案更新根據(jù)信息化快速發(fā)展和經(jīng)濟(jì)社會(huì)發(fā)展?fàn)顩r，配合相關(guān)法律法規(guī) 的制定、修改和完善，結(jié)合應(yīng)急處置中暴露出的管理、協(xié)調(diào)和技術(shù) 問題，修訂和完善本預(yù)案。附件：應(yīng)急響應(yīng)相關(guān)表單網(wǎng)絡(luò)與信息安全事件記錄表日期事件發(fā)生原因處理辦法處理結(jié)果操作人員審核人員網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案摘要表一、應(yīng)急領(lǐng)導(dǎo)小組成